Phần mềm hiện đại: Có gì thực sự bên trong?

Khi ngành an ninh mạng sắp đến mùa hội nghị, thật đáng kinh ngạc khi thấy các thành viên của cộng đồng háo hức chia sẻ kinh nghiệm của họ. Người ta có thể lập luận rằng quy trình kêu gọi người phát biểu cung cấp một bức tranh tổng thể sâu và rộng về suy nghĩ chung của toàn bộ hệ sinh thái an ninh mạng. Một trong những chủ đề thảo luận hấp dẫn nhất được quan sát thấy trong năm nay “RSAC 2023 Kêu gọi báo cáo xu hướng gửi” đã ở trong và xung quanh nguồn mở, thứ đã trở nên phổ biến hơn và ít im lặng hơn so với quan sát trước đây. Phần mềm hiện đại đã thay đổi, đi kèm với nó là những hứa hẹn và nguy hiểm.

Có ai viết phần mềm của riêng họ nữa không?

Không ngạc nhiên khi các chuyên gia an ninh mạng dành nhiều thời gian để nói về phần mềm — cách phần mềm được lắp ráp, thử nghiệm, triển khai và vá lỗi. Phần mềm có tác động đáng kể đến mọi doanh nghiệp, bất kể quy mô hay lĩnh vực. teams và thực hành đã phát triển khi quy mô và độ phức tạp đã tăng lên. Kết quả là, “Phần mềm hiện đại đang được lắp ráp nhiều hơn là được viết ra,” Jennifer Czaplewski, giám đốc cấp cao của Target, nơi cô lãnh đạo DevSecOps và bảo mật điểm cuối, cho biết; cô ấy cũng là thành viên ủy ban chương trình Hội nghị RSA. Đó không chỉ đơn thuần là một ý kiến. Ước tính có bao nhiêu phần mềm trong toàn ngành bao gồm các thành phần nguồn mở — mã được nhắm mục tiêu trực tiếp trong các cuộc tấn công nhỏ và lớn — dao động từ 70% đến gần 100%, tạo ra một bề mặt tấn công lớn, thay đổi để bảo vệ và là khu vực tập trung quan trọng cho chuỗi cung ứng của mọi người.

Việc lắp ráp mã tạo ra các phụ thuộc phổ biến - và các phụ thuộc chuyển tiếp - như các vật phẩm tự nhiên. Những phần phụ thuộc này sâu hơn nhiều so với mã thực tế và các nhóm đang kết hợp nó cũng cần hiểu rõ hơn về các quy trình được sử dụng để chạy, kiểm tra và bảo trì nó.

Gần như mọi tổ chức ngày nay đều có sự phụ thuộc không thể tránh khỏi vào mã nguồn mở, điều này đã thúc đẩy nhu cầu về các cách tốt hơn để đánh giá rủi ro, sử dụng danh mục, theo dõi tác động và đưa ra quyết định sáng suốt trước, trong và sau khi kết hợp các thành phần nguồn mở vào ngăn xếp phần mềm.

Xây dựng niềm tin và các thành phần để thành công

Nguồn mở không chỉ là vấn đề công nghệ. Hoặc một vấn đề quá trình. Hoặc một vấn đề con người. Nó thực sự trải rộng trên mọi thứ và các nhà phát triển, giám đốc an ninh thông tin (CISO) và các nhà hoạch định chính sách đều đóng một vai trò nào đó. Tính minh bạch, cộng tác và giao tiếp giữa tất cả các nhóm này là chìa khóa để xây dựng lòng tin quan trọng.

Một tiêu điểm để xây dựng lòng tin là hóa đơn nguyên vật liệu phần mềm (SBOM), đã trở nên phổ biến sau Sắc lệnh hành pháp tháng 2021 năm XNUMX của Tổng thống Biden. Chúng tôi bắt đầu thấy những quan sát hữu hình về lợi ích có thể định lượng được từ việc triển khai nó, bao gồm khả năng kiểm soát và khả năng hiển thị tài sản, thời gian phản hồi nhanh hơn đối với các lỗ hổng và quản lý vòng đời phần mềm tổng thể tốt hơn. Lực kéo của SBOM dường như đã sinh ra nhiều BOM khác, trong số đó có DBOM (dữ liệu), HBOM (phần cứng), PBOM (đường ống) và CBOM (an ninh mạng). Thời gian sẽ cho biết liệu lợi ích có lớn hơn nghĩa vụ chăm sóc nặng nề mà các nhà phát triển đặt ra hay không, nhưng nhiều người hy vọng rằng phong trào BOM có thể dẫn đến một cách suy nghĩ và tiếp cận vấn đề thống nhất.

Các chính sách và hợp tác bổ sung, bao gồm Đạo luật bảo mật phần mềm nguồn mở, Khuôn khổ Cấp độ Chuỗi cung ứng cho Tạo tác Phần mềm (SLSA)và Khung phát triển phần mềm an toàn của NIST (SSDF), dường như khuyến khích các thực hành đã làm cho nguồn mở trở nên phổ biến như vậy — cộng đồng tập thể làm việc cùng nhau với mục tiêu đảm bảo chuỗi cung ứng phần mềm an toàn theo mặc định.

Việc tập trung công khai vào “những nhược điểm” xung quanh mã nguồn mở và sự thao túng, các cuộc tấn công và nhắm mục tiêu của nó đã tạo ra những nỗ lực mới để giảm thiểu rủi ro liên quan, cả với các quy trình và báo cáo phát triển, cũng như công nghệ. Các khoản đầu tư đang được thực hiện để tránh ăn phải các thành phần độc hại ngay từ đầu. Việc xem xét nội tâm và tìm hiểu thực tế về phát triển phần mềm, vòng đời phát triển phần mềm (SDLC) và toàn bộ chuỗi cung ứng là vô cùng có lợi cho cộng đồng ở giai đoạn này.

Trên thực tế, mã nguồn mở có thể mang lại lợi ích to lớn… mã nguồn mở! Các nhà phát triển dựa vào các công cụ nguồn mở để tích hợp các biện pháp kiểm soát bảo mật quan trọng như một phần của tích hợp liên tục/phân phối liên tục (đường dẫn CI/CD). Tiếp tục nỗ lực để cung cấp các nguồn lực, chẳng hạn như thẻ điểm OpenSSF, với lời hứa về tính năng chấm điểm tự động và Khuôn khổ chuỗi cung ứng an toàn (SSC) của phần mềm mã nguồn mở (OSS), một khuôn khổ tập trung vào tiêu dùng được thiết kế để bảo vệ các nhà phát triển chống lại các mối đe dọa chuỗi cung ứng PMNM trong thế giới thực, chỉ là hai ví dụ về các hoạt động hứa hẹn sẽ hỗ trợ các nhóm khi họ lắp ráp phần mềm.

Cùng nhau mạnh hơn

Nguồn mở đã và sẽ tiếp tục thay đổi phần mềm trò chơi. Nó đã ảnh hưởng đến cách thế giới xây dựng phần mềm. Nó đã giúp tăng tốc thời gian đưa ra thị trường. Nó đã kích thích sự đổi mới và giảm chi phí phát triển. Có thể cho rằng, nó có tác động tích cực đến an ninh, nhưng vẫn còn nhiều việc phải làm. Và việc xây dựng một thế giới an toàn hơn đòi hỏi cả một ngôi làng phải cùng nhau chia sẻ ý tưởng và phương pháp hay nhất với cộng đồng lớn hơn.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-